Protección avanzada

Funcionalidades según el sistema operativo

La protección avanzada incluye las siguientes funcionalidades para cada sistema operativo:

Funcionalidad	Windows (Intel & ARM)	Linux	macOS (Intel & ARM)
Comportamiento: modo de funcionamiento (incluye decoy files).	X
Comportamiento: detectar actividad maliciosa	X	X
Anti-exploit (incluye inyección de código y bloqueo de driver vulnerable)	X (No disponible en sistemas Windows ARM)
Tecnología AMSI (Anti-Malware Scan Interface)	X
Políticas avanzadas de seguridad (incluye bloqueo de programas)	X
Protección contra ataques de red	X
Privacidad	X	X	X
Uso de la red	X	X	X
Funcionalidades de la protección avanzada según sistema operativo

Comportamiento

La protección avanzada activa la monitorización de los procesos ejecutados en equipos Windows, macOS y Linux, y el envío de toda la telemetría generada a la nube de Cytomic. Esta información se incorpora a los procesos de investigación encargados de clasificar los ficheros como goodware o malware, sin ambigüedades ni lugar para sospechosos. Gracias a esta tecnología es posible detectar malware desconocido y amenazas avanzadas como APTs en equipos Windows y Linux.

Junto a las funcionalidades de detección avanzada, Cytomic ofrece el servicio Zero-Trust Application Service para equipos Windows, que clasifica todos los ficheros encontrados en el parque informático del cliente, eliminando de esta forma la categoría de “desconocidos”.

Modo de funcionamiento (Sólo Windows)

Campo	Descripción
Audit	Permite ejecutar los programas desconocidos y las amenazas detectadas. Informa del malware conocido.
Hardening	Ejecuta los programas desconocidos ya instalados en el equipo del usuario. Bloquea los programas desconocidos que vienen de fuentes no fiables como Internet, otros equipos de la red o unidades de almacenamiento externas hasta su clasificación. Los programas clasificados como malware serán desinfectados o eliminados.
Lock	Bloquea la ejecución de todos los programas desconocidos hasta que estén clasificados. Elimina o desinfecta los programas ya clasificados como malware.
Modos de funcionamiento de la protección avanzada para Windows

Crear Decoy Files para ayudar a la detección de ransomware: Crea en el equipo del usuario ficheros de control que son permanentemente monitorizados porAdvanced EDR. En caso de detectarse cambios, se clasifica al proceso que lo originó como ransomware y se finaliza para evitar el cifrado masivo del sistema de ficheros.
Informar a los usuarios de los equipos de los bloqueos: introduce un mensaje descriptivo para informar al usuario cuando un fichero ha sido bloqueado por el módulo de protección avanzada o por el de anti-exploit. El agente Advanced EDR mostrará una ventana desplegable con el contenido del mensaje. Para configurar un mensaje informativo y dejar la decisión de ejecutar o no el elemento haz clic en el selector Dar a los usuarios de los equipos la opción de ejecutar los programas desconocidos bloqueados (recomendado sólo para usuarios avanzados o administradores).

Tecnología AMSI (Anti-Malware Scan Interface)

La Interfaz de examen antimalware (AMSI) de Windows es un interfaz flexible que permite a las aplicaciones y servicios integrarse con cualquier producto antimalware existente en el equipo. AMSI proporciona protección mejorada contra el malware para los usuarios finales y sus datos, aplicaciones y tareas en ejecución.

Para mas información, consulta https://learn.microsoft.com/es-es/windows/win32/amsi/antimalware-scan-interface-portal

Disponible solo para equipos con sistema operativo Windows instalado.

Para activar o desactivar la tecnología AMSI, desplaza el cursor deslizante Activar análisis avanzado con AMSI a la posición ON.

Exclusiones

En el caso de programas que puedan causar problemas de rendimiento al activar la tecnología AMSI, puedes excluirlos del análisis. Para ello, escribe el nombre del programa en la caja de texto y presiona la tecla Enter. Para más información sobre el comportamiento de la consola al editar exclusiones cuando la configuraciónestá gestionada por el partner, consulta Exclusiones establecidas por el partner.

Detectar actividad maliciosa (Sólo Linux)

Advanced EDR envía la telemetría obtenida de la monitorización de actividad de equipos y servidores Linux a la nube de Cytomic. Con esta información, Advanced EDR genera reglas contextuales que permiten detener amenazas avanzadas.

Campo	Descripción
Auditar	Se informa de las amenazas detectadas mediante reglas contextuales, pero no se bloquean. Las amenazas detectadas mediante otras tecnologías se bloquean o desinfectan.
Bloquear	Se informa y se bloquean las amenazas detectadas mediante reglas contextuales. Activa esta opción si estás seguro de que la actividad detectada pertenece a una amenaza.
No detectar	No se informa ni se detecta el malware descubierto mediante las reglas contextuales.
Modos de funcionamiento de la protección para Linux

Políticas avanzadas de seguridad

Las políticas avanzadas de seguridad permiten detectar y bloquear en equipos Windows la ejecución de scripts sospechosos y programas desconocidos que utilizan técnicas avanzadas de infección. Este tipo de malware supone una amenaza creciente para la seguridad del equipo.

Para activar las políticas avanzadas de seguridad haz clic en el Botón Activar políticas avanzadas y configura cada una de las políticas mostradas en Modos de funcionamiento de la protección avanzada de Advanced EDR con una de las opciones siguientes:

No detectar: la política no se detecta y no genera ningún feedback al usuario ni al administrador.
Auditar: la política se detecta y genera feedback al administrador en los listados y widgets de seguridad. Consulta Visibilidad del malware y del parque informático.
Bloquear: Advanced EDR impide la ejecución del programa.

Las políticas avanzadas de seguridad son:

Campo	Descripción
PowerShell con parámetros ofuscados	El intérprete Powershell ha recibido parámetros sospechosos que pueden derivar en la ejecución de operaciones peligrosas en el equipo protegido. Esta opción requiere activar la protección anti-exploit.
PowerShell ejecutado por el usuario	La cuenta utilizada para ejecutar el script Powershell monitorizado es de tipo interactiva y por tanto susceptible de ejecutar operaciones peligrosas en el equipo protegido. Esta opción requiere activar la protección anti-exploit.
Scripts desconocidos	Identifica y/ o bloquea los scripts que la inteligencia de seguridad de Cytomic no ha clasificado como seguros. Esta protección permite: Aportar visibilidad al administrador sobre los scripts ejecutados en el parque informático. Asegurar servidores bastionados donde la ejecución de programas está fuertemente restringida. Evitar la propagación de malware en la red del cliente si existe la sospecha de haberse producido una infección. Si consideras que la protección está generando falsos positivos, considera excluir el fichero del análisis. Consulta Archivos y rutas excluidas del análisis.
Programas compilados localmente	Programas desconocidos por la inteligencia de seguridad de Cytomic que han sido creados en el equipo del usuario.
Documentos con macros	Documentos de tipo ofimático que incorporan macros y que pueden ejecutar operaciones peligrosas para el equipo protegido.
Registro para arranque al inicio de Windows	El programa monitorizado añade una rama en el registro que le permite ganar persistencia en el equipo, cargándose junto al sistema operativo en cada reinicio.
Modos de funcionamiento de la protección avanzada de Advanced EDR

Bloquear programas

Para incrementar la seguridad de partida en los equipos Windows de la red, el administrador puede decidir prohibir completamente la ejecución de ciertos programas que previamente ha clasificado como peligrosos o no compatibles con la actividad de la empresa.

Las causas que pueden llevar a un administrador a prohibir la ejecución de un determinado programa pueden ser variadas:

Programas que por su forma de ejecución consumen mucho ancho de banda o establecen un número de conexiones desproporcionadamente alto, poniendo en peligro el rendimiento de la conectividad de la empresa si son ejecutados por muchos usuarios concurrentes.
Programas que permiten acceder a contenidos susceptibles de contener amenazas de seguridad.
Programas que permiten acceder a contenidos no relacionados con la actividad de la empresa y que pueden afectar al rendimiento de los usuarios.

Para crear una nueva configuración o modificar una existente introduce la información mostrada a continuación:

Campo	Descripción
Nombres de los programas a bloquear	Nombres de los ficheros que Advanced EDR impedirá su ejecución. Puedes pegar directamente una lista de nombres de ficheros separados por retorno de carro en esta caja de texto.
Código MD5 o SHA-256 de los programas a bloquear	MD5 o SHA-256 de los ficheros que Advanced EDR impedirá su ejecución. En esta caja de texto se aceptan listas de codigos MD5 o SHA-256 copiadas / pegadas y separados por retorno de carro.
Configuración de una política de seguridad Bloquear programas

Para mostrar un mensaje emergente en el equipo del usuario o servidor haz clic en Informar a los usuarios de los equipos de los bloqueos. Introduce un mensaje descriptivo para informar al usuario de que un fichero se ha bloqueado. El agente Advanced EDR mostrará una ventana desplegable con el contenido del mensaje.

Anti-exploit

La tecnología anti-exploit no está disponible en sistemas Windows ARM.

La protección anti-exploit bloquea automáticamente los intentos de explotación de vulnerabilidades en los procesos instalados en el equipo del usuario, en la mayor parte de las ocasiones sin requerir intervención por su parte.

Funcionamiento de la protección anti-exploits

Los equipos de la red pueden contener procesos de origen conocido y fiable pero con fallos de programación. Son conocidos como “procesos vulnerables” debido a que interpretan de forma incorrecta ciertas secuencias de datos que reciben del usuario o de otros procesos.

Cuando un proceso vulnerable recibe un determinado patrón de información conocido por los hackers, se produce un mal funcionamiento interno que deriva en una inyección de fragmentos de código preparados por el hacker en las regiones de memoria gestionadas por el proceso vulnerable. Un proceso así afectado recibe el nombre de “proceso comprometido”. La inyección de código provoca que el proceso comprometido ejecute acciones para las que no fue programado, generalmente peligrosas y que comprometen la seguridad del equipo.

La protección anti-exploit de Advanced EDR detecta la inyección de código malicioso en los procesos vulnerables ejecutados por el usuario, bloqueándola siguiendo cursos de acción diferentes, dependiendo del tipo de exploit encontrado:

Bloqueo del exploit

Detecta la inyección de código en el proceso vulnerable cuando todavía no se ha completado. El proceso no llega a comprometerse y el riesgo del equipo es nulo, con lo que no requiere detener el proceso afectado ni reiniciar el equipo de usuario. No implica pérdida de información por parte del proceso afectado.

El usuario puede recibir una notificación del bloqueo dependiendo de la configuración establecida por el administrador.

Detección del exploit

Detecta la inyección de código en el proceso vulnerable cuando ya se ha producido. Debido a que el proceso vulnerable ya contiene el código malicioso, es imperativo cerrarlo antes de que ejecute acciones que puedan poner en peligro la seguridad del equipo.

Independientemente del tiempo transcurrido desde la detección hasta el cierre del proceso Advanced EDR considera en riesgo el equipo, aunque su cuantificación depende del tiempo transcurrido en cerrar el proceso afectado y del diseño del malware. Advanced EDR puede cerrar el proceso de forma automática para minimizar los efectos adversos, o delegar en el usuario la decisión, pidiéndole permiso de forma explícita para descargarlo de la memoria.

Si el administrador ha configurado el cierre automático para minimizar la posibilidad de efectos adversos, el usuario puede sufrir la pérdida de información manejada por el proceso afectado. Si, por el contrario, el administrador ha delegado en el usuario la decisión, el usuario podrá retrasar el cierre de la aplicación y minimizar la posibilidad perdida de información.

En los casos en que no sea posible cerrar el proceso afectado se pedirá permiso al usuario para reiniciar el equipo completo.

Bloqueo de drivers con vulnerabilidades

Los drivers suministrados por proveedores legítimos pueden poseer vulnerabilidades aprovechables por el malware para infectar el equipo o desactivar su protección.

Estos drivers no son maliciosos por sí mismos, y de hecho pueden estar instalados en los equipos sin que ello implique una amenaza de seguridad, por lo que inicialmente no son detectados como malware.

La protección anti-exploit de Advanced EDR bloquea el uso de drivers vulnerables, excepto cuando el driver se carga en el proceso de inicio del sistema operativo.

Compatibilidad de la tecnología anti - exploit

Cytomic sigue todas las recomendaciones de los fabricantes de sistemas operativos para asegurarse de que sus productos de seguridad coexisten en el equipo del cliente sin problemas con otras soluciones antivirus y EDR. No obstante, la implementación del módulo anti - exploit se realiza mediante hooks. Si existen varias soluciones de seguridad instaladas en el equipo que utilizan esta tecnología de interceptación, es posible que sean incompatibles. Para solucionar esta situación desactiva todas las tecnologías basadas en hooks del producto de seguridad en el equipo del usuario.

En Advanced EDR las tecnologías que utilizan hooks son:

Anti - exploit
Inyección avanzada de código
IOAs avanzados. Consulta Compatibilidad de los Indicadores de ataque avanzados con soluciones de seguridad de terceros

Configuración de la detección anti - exploits

Inyección de código

Para activar la protección anti-exploit, desplaza el cursor deslizante a la posición ON.
Exclusiones para la inyección de código: puedes excluir los procesos no compatibles con la protección anti-exploit. Para excluir un proceso, escribe su nombre en la caja de texto Procesos excluidos y presiona la tecla Enter.
Modo de funcionamiento (Sólo Windows):

Campo	Descripción
Auditar	Notifica en la consola Web la detección del exploit, pero no toma acciones contra él ni informa al usuario del equipo.
Bloquear	Bloquea los ataques de tipo exploit. Puede requerir el cierre del proceso afectado por el exploit. Informar del bloqueo al usuario del equipo: el usuario recibe una notificación, pero el proceso comprometido se cierra de forma automática si es necesario. Pedir permiso al usuario: el usuario recibe una petición de autorización para el cierre del proceso comprometido por el exploit en caso de ser necesario. Esta opción resulta útil para que el usuario pueda salvar la información antes producirse el cierre del proceso. Si se requiere el reinicio del equipo siempre se pide confirmación al usuario, independientemente de la configuración Pedir permiso al usuario.
Modo de funcionamiento de la protección avanzada anti-exploit en Advanced EDR

Campo

Descripción

Auditar

Notifica en la consola Web la detección del exploit, pero no toma acciones contra él ni informa al usuario del equipo.

Bloquear

Bloquea los ataques de tipo exploit. Puede requerir el cierre del proceso afectado por el exploit.

Informar del bloqueo al usuario del equipo: el usuario recibe una notificación, pero el proceso comprometido se cierra de forma automática si es necesario.
Pedir permiso al usuario: el usuario recibe una petición de autorización para el cierre del proceso comprometido por el exploit en caso de ser necesario. Esta opción resulta útil para que el usuario pueda salvar la información antes producirse el cierre del proceso. Si se requiere el reinicio del equipo siempre se pide confirmación al usuario, independientemente de la configuración Pedir permiso al usuario.

Modo de funcionamiento de la protección avanzada anti-exploit en Advanced EDR

Dado que muchos exploits continúan ejecutando código malicioso hasta que no se produce el cierre del proceso, la incidencia no se marcará como resuelta en el panel de elementos maliciosos y exploit de la consola web hasta que el programa haya sido cerrado.

Driver vulnerable:

Para activar el bloqueo de drivers con vulnerabilidades, desplaza el control deslizante Detectar drivers con vulnerabilidades a la posición ON.
Modo de funcionamiento (Sólo Windows):

Campo	Descripción
Auditar	Notifica la detección en la consola web de Cytomic , pero no toma acciones al respecto.
Bloquear	Notifica la detección en la consola web de Cytomic , bloquea la carga de los drivers y muestra un aviso en el equipo afectado.
Modo de funcionamiento del bloqueo de drivers con vulnerabilidades en Advanced EDR

Protección contra ataques de red

Muchos incidentes de seguridad comienzan con ataques que explotan vulnerabilidades en servicios expuestos a Internet. Si, posteriormente, los atacantes logran su objetivo y la organización ya está infectada, también es necesario detener el ataque dentro de la red corporativa.

La Protección contra ataques de red detecta y detiene amenazas al analizar el tráfico de red en tiempo real, evitando los ataques que aprovechan las vulnerabilidades en los servicios expuestos a Internet y en la red interna.

Para más información sobre las detecciones soportadas por Protección contra ataques de red consulta https://www.pandasecurity.com/es/support/card?id=700145.

Campo	Descripción
Bloquear	Bloquea el tráfico que forman parte de un ataque de red. Es la opción predeterminada.
Auditar	Notifica en la consola Web la detección del ataque de red, pero no toma acciones contra él ni informa al usuario del equipo.
Modo de funcionamiento de la protección avanzada Protección contra ataques de red en Advanced EDR

Privacidad

Advanced EDR incluye el nombre, la ruta completa de los ficheros y el usuario que inició la sesión en el equipo cuando envía los archivos a la nube de Cytomic para su análisis. Esta información se utiliza posteriormente en los informes y las herramientas de análisis forense mostrados en la consola Web. Para no enviar que esta información desactiva la casilla apropiada en la pestaña Privacidad.

Uso de la red

Advanced EDR comprime y envía a la nube de Cytomic los ficheros ejecutables desconocidos para su análisis en el laboratorio. El tamaño máximo del fichero comprimido que el agente puede enviar es de 50 MBytes.

El impacto en el ancho de banda de la red del cliente está configurado de forma predeterminada para pasar desapercibido:

Se envía un máximo de 50 Mbytes por hora y agente.
Un fichero concreto desconocido se envía una sola vez para todos los clientes que usan Advanced EDR.
Se implementan mecanismos de gestión del ancho de banda con el objetivo de evitar un uso intensivo de los recursos de red.

Para configurar el número máximo de megabytes que un agente podrá enviar en una hora introduce el valor y haz clic en Ok. Para establecer transferencias ilimitadas deja el valor a 0.